今年早些时候,企业战略集团(ESG)发布了一份调研报告,呈现了企业在其整体网络安全战略中融入威胁情报的情况。该研究项目包含对380位企业网络安全专业人员的调查(企业雇员规模超1000人)。
受访人员被问及所属企业网络威胁情报(CTI)计划的相关问题:CTI计划的人员配备情况如何?何种技术是最重要的?面临哪些挑战?有何策略?支出计划是什么样的?此前也有几篇文章详细解读该项研究:有给出企业威胁情报计划概况的,有审视威胁情报生命周期所面临挑战的,有聚焦CTI和数字风险保护(DRP)间交叉点的。
在企业CTI计划问题上,二八定律同样适用。具体而言,80%的企业设置有基本的威胁情报计划,而20%则更进一步。但即使在CTI计划更加高级的这20%里面,也没几家企业拥有精心设计的威胁情报生命周期、既定的流程和指标,并且始终如一地遵循最佳实践。
为什么会出现这种情况?因为大多数企业只是将威胁情报当成了已知恶意文件、IP地址和网站域名等用来参考和充实警报的入侵指标(IoC)。很少有企业将自动化IoC发现纳入阻止规则,参照MITRE ATT&CK框架制定自身威胁情报计划的企业就更少了,于是大部分企业都无法跟踪攻击者战术、技术与程序(TTP)来创建检测规则、构建威胁知情防御或验证自己的安全控制措施。说到CTI计划,做到顶尖的毕竟只是极少数,基本都是金融服务、大型科技公司、国家军队和情报机构。
成熟网络威胁情报的特征
考虑到企业威胁情报计划的现状,受访人员被问及成熟CTI计划的几个特征。他们的回答和相应分析如下:
别误会,上述所有数据点都应该是CTI计划的一部分。换句话说,这项研究凸显出,大多数企业没有成熟的CTI计划,许多安全专业人员也不清楚成熟的CTII计划是什么样子的。强大的CTI计划在正确执行的情况下肯定可以加强安全防御,因此,如果找托管服务提供商来帮助弥合这一差距,而不是自己得过且过,很多企业都能从中收获极大益处。
ESG完整报告
https://www.esg-global.com/research/complete-survey-results-operationalizing-cyber-threat-intelligence
参考阅读
网络安全研究人员面临人身威胁
三大威胁趋势:网络钓鱼、社交媒体与暗网
[调研] 多年过去,网络威胁情报计划仍步履蹒跚
原文始发于微信公众号(数世咨询):成熟网络威胁情报计划的几个特征
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论